Microlab Hard S.L.

La Agencia Española de Protección de Datos (AEPD) ha dictado resolución recientemente contra la Dirección General de Tráfico (DGT) (https://www.aepd.es/documento/pd-00283-2025.pdf), a raíz de una reclamación presentada por un ciudadano español por no haber atendido correctamente su solicitud de acceso a datos personales.

En su escrito, la AEPD destaca la importancia de responder adecuadamente a los ejercicios de derechos de los interesados, con independencia de que el responsable del tratamiento sea un organismo público o cualquier entidad privada, y pone en relieve las exigencias previstas en el Reglamento General de Protección de Datos (RGPD) para esta clase de solicitudes.

Contexto de la reclamación

El reclamante recibió en 2024 un requerimiento relacionado con impagos de peajes en Portugal atribuidos a un vehículo de su propiedad, pero que pertenecía a otra persona en el momento de la infracción (es decir, al dueño anterior). Aunque había cambiado la titularidad del vehículo, la DGT había facilitado sus datos a la entidad portuguesa que le reclamaba el pago de estos peajes.

El interesado solicitó formalmente, el 11 de marzo de 2025, el ejercicio del derecho de acceso para conocer qué datos personales se estaban tratando y, muy especialmente, a quién se habían comunicado dichos datos. La respuesta de la DGT llegó el día 19 del mismo mes, pero fue considerada insatisfactoria por el reclamante porque no le informó sobre la comunicación de sus datos relativa a este asunto, sino que se limitó a remitirle un enlace a la página web del Ministerio de Interior (en particular, a su registro de actividades del tratamiento), en la que se informa de manera general de las comunicaciones de datos realizadas por este organismo.

Por todo lo anterior, el reclamante dirigió una reclamación ante la AEPD alegando que la respuesta no había satisfecho su petición, pues no se identificaba adecuadamente al cesionario de sus datos personales.

Derecho de acceso según el RGPD

El Reglamento General de Protección de Datos reconoce en su artículo 15 el derecho de acceso de los interesados, que permite a cada persona saber si sus datos están siendo tratados, obtener una copia de los mismos y recibir información detallada sobre ese tratamiento.

El derecho de acceso no se limita a la mera entrega de los datos; incluye también información sobre los fines del tratamiento, las categorías de datos, los destinatarios a los que se han comunicado los datos, plazos de conservación y la base legal del tratamiento. Asimismo, debe informarse al interesado sobre sus derechos complementarios y el origen de los datos si estos no se han obtenido directamente de él.

Así, podemos determinar que las principales obligaciones derivadas de una solicitud de acceso son las siguientes:

1. Obligación de responder en plazo y de forma comprensible.
   El RGPD establece que la respuesta debe proporcionarse sin dilaciones indebidas y, como máximo, en el plazo de un mes desde la recepción de la solicitud.
   Además, la información dada al interesado debe ser clara, concisa y de fácil acceso. Para ello, debe utilizarse un lenguaje comprensible, que los interesados puedan entender sin necesidad de conocimientos técnicos.
2. Información individualizada y completa.
   No basta remitir al interesado a una página web. Si la solicitud de acceso incluye una petición concreta (por ejemplo, conocer a qué destinatarios se comunicó un dato), el responsable debe facilitar esa información específica directamente en la respuesta.
3. Principio de responsabilidad proactiva.
   La resolución recuerda que el responsable del tratamiento tiene la carga de demostrar que ha satisfecho la solicitud de acceso en todos sus elementos. El simple cumplimiento formal no basta si no se responden los puntos requeridos por el interesado.
   (Véase también la doctrina y guías del Comité Europeo de Protección de Datos (EDPB) sobre derechos de los interesados).

¿Por qué fue insuficiente la respuesta de la DGT?

En la resolución, la AEPD subraya que la DGT sí había facilitado parte de los datos personales solicitados y confirmó que estos estaban siendo objeto de tratamiento. No obstante, al remitir al interesado únicamente a un enlace genérico del registro de actividades de tratamiento, no cumplió plenamente con las obligaciones del artículo 15 del RGPD.

Sin embargo, la Agencia considera que la información del registro de actividades, aunque útil como obligación de transparencia, no sustituye la respuesta individualizada que exige el derecho de acceso. El interesado tenía derecho a recibir información concreta sobre las cesiones de sus datos en su caso específico, no solo con carácter general. Esto es especialmente relevante cuando se cuestiona por qué un tercero recibió esos datos y cuál fue la finalidad de esa comunicación.

Lecciones para cualquier organización que trate datos personales

Esta resolución es una lección clara para cualquier organización, pública o privada, que reciba solicitudes de acceso a datos de los interesados. De su texto, se pueden desprender las siguientes claves para un correcto cumplimiento de la normativa:

• No remitir contenido genérico. La respuesta debe adaptarse al caso particular de cada interesado.
• Facilitar información sobre cesionarios concretos. Si se han comunicado datos a terceros, indica claramente quiénes son, con qué base legal y con qué finalidad.
• Respetar los plazos legales. Evita dilaciones o respuestas incompletas que generen reclamaciones ante la AEPD.
• Justificación. Conserva evidencias de la respuesta dada y de las razones por las que se trata determinada información.

En definitiva, esta resolución pone de manifiesto que los derechos de los interesados no son una mera formalidad, sino que implican una respuesta específica, comprensible y completa, que permita al interesado dar cumplidos los derechos que le otorga la normativa de protección de datos.

En Microlab Hard somos especialistas en RGPD, LSSI y derecho digital. Para referencia normativa oficial puedes consultar:

• LOPDGDD (Ley Orgánica 3/2018) en el BOE
• LSSI-CE (Ley 34/2002) en el BOE
• RGPD (Reglamento (UE) 2016/679) en EUR-Lex

Asesoramos a empresas que desean adaptar su marketing digital a la normativa vigente sin renunciar a la eficacia. Revisamos formularios, analizamos cookies, auditamos herramientas, actualizamos textos legales y ayudamos a implantar prácticas respetuosas con la privacidad.

Si necesitas asesoramiento o quieres comprobar si tu estrategia cumple la ley, contacta con nosotros. Estaremos encantados de ayudarte a integrar la protección de datos en tu marketing de forma eficaz y profesional.

La inminente obligatoriedad de la baliza V16 conectada, prevista para el 1 de enero de 2026, ha generado dudas entre conductores particulares y profesionales. En los últimos meses se han difundido mensajes alertando de que la baliza permitiría la vigilancia permanente o excesiva del conductor, así como el rastreo continuado del vehículo. Para aclarar estas inquietudes, la Agencia Española de Protección de Datos (AEPD) ha publicado un comunicado en el que explica por qué este dispositivo no supone un riesgo para la privacidad.

A continuación, analizaremos los argumentos de la AEPD, el encaje jurídico de la baliza dentro de la normativa de protección de datos y, especialmente, por qué su funcionamiento no es equiparable a los sistemas de geolocalización utilizados por algunas empresas respecto de sus trabajadores.

¿Qué datos transmite realmente la baliza V16?

La baliza V16 conectada incorpora dos funcionalidades precisas y legalmente limitadas:

• Una luz visible para señalizar la avería o emergencia.
• El envío automático de un aviso a los sistemas de tráfico, exclusivamente cuando se activa.

Esta comunicación incluye la ubicación del vehículo detenido y un identificador técnico del dispositivo. Este identificador no está asociado a la identidad de ninguna persona ni a la matrícula del vehículo. No existe ningún registro administrativo que vincule la baliza con su comprador o con el vehículo en que se coloca, por lo que su adquisición es totalmente anónima.

Esto implica que el dato transmitido (localización del incidente) no es un dato personal porque, tal como exige el RGPD, no permite identificar directa o indirectamente a una persona física.

Otro elemento que destaca la AEPD en su comunicado es que esta baliza no transmite información mientras no está activada, pues solo envía datos durante la situación de emergencia (es decir, mientras está encendida), no antes ni después.

La geolocalización en el ámbito laboral y el uso de la baliza por parte de los empleados de una empresa

Como ya hemos señalado anteriormente, la baliza no identifica al usuario que la utiliza y, por ende, no es nominativa. El RGPD considera que hay tratamiento de datos personales cuando es posible identificar o hacer identificable a una persona, por lo que su uso no conlleva el tratamiento de datos personales.

Además, las empresas no pueden modificar o añadir funcionalidades a estas balizas, pues el Real Decreto 159/2021 prohíbe expresamente que la baliza incorpore funcionalidades adicionales distintas a la comunicación del incidente, por lo que no pueden ser utilizadas para el control laboral.

Con independencia de lo anterior, las empresas sí que pueden utilizar otros sistemas para geolocalizar a los empleados, siempre que cumplan los siguientes requisitos:

• El empleador solo puede utilizar sistemas de geolocalización cuando sea estrictamente necesario para la organización del trabajo o el control laboral permitido por el Estatuto de los Trabajadores (ET).
• Exista un interés legítimo que prevalezca sobre los derechos del trabajador y no exista una alternativa menos intrusiva.
• El trabajador haya sido informado previamente sobre la geolocalización, su finalidad, sus derechos y la base legal del tratamiento.
• Se limite su uso a la jornada laboral. Es decir, se prohíbe uso para controlar al empleado fuera de su horario.

La incorporación de nuevas tecnologías obligatorias, como la baliza V16, no supone una renuncia a la privacidad, sino un avance en seguridad vial que cuenta con plenas garantías jurídicas. Por ello, desde microlab ayudamos a las organizaciones a distinguir con claridad entre herramientas de emergencia y sistemas de control laboral, implementando políticas de cumplimiento que protegen los datos personales y blindan a la empresa ante cualquier incertidumbre legal.

La Agencia Española de Protección de Datos (AEPD) ha impuesto a Aena una sanción de diez millones de euros por desplegar sistemas de reconocimiento facial en aeropuertos españoles sin haber realizado, previamente, una evaluación de impacto en protección de datos (EIPD) conforme a la normativa. Además, ha ordenado la suspensión inmediata y temporal de todos los tratamientos de datos biométricos relacionados con ese sistema.

Esta resolución representa un hito, tanto por la cuantía como por sus fundamentos: la AEPD considera que Aena implementó un tratamiento de “alto riesgo” (por tratar datos biométricos), sin justificar la necesidad ni la proporcionalidad, y sin adoptar las garantías requeridas. Por todo lo anterior, este caso sirve como un referente para cualquier empresa u organización que pretenda usar tecnologías que procesen datos personales biométricos, como la huella dactilar o el reconocimiento facial.

Falta de proporcionalidad y necesidad

El artículo 35 del Reglamento General de Protección de Datos (RGPD) exige una evaluación de impacto previa cuando se van a tratar datos que entrañan un alto riesgo para los derechos y libertades de las personas, como es el caso que nos ocupa. La AEPD señala que la evaluación presentada por Aena tenía graves deficiencias: no contenía un análisis realista de la necesidad o proporcionalidad del sistema, no evaluaba adecuadamente los riesgos, ni establecía medidas técnicas y organizativas suficientes para minimizar el riesgo.

El sistema biométrico de Aena utilizaba las imágenes captadas para identificar los rostros a través de un sistema de identificación “uno a varios”, es decir, las caras captadas se cotejaban con la totalidad de una base de datos, lo que se considera un método considerado especialmente intrusivo. Esa técnica es la contrapuesta al método de autenticación “uno a uno”, es decir, el interesado se identifica en un paso previo y el sistema, a través de la lectura biométrica, comprueba su identidad. En definitiva, existían alternativas menos intrusivas que no se estudiaron lo suficiente, según la AEPD.

Finalmente, la Agencia recalca que la proporcionalidad de la medida no estaba debidamente justificada en función de sus objetivos, que no eran otros que agilizar el embarque o mejorar experiencia de usuario, pues estos podrían haberse alcanzado con sistemas menos invasivos.

¿Cuáles son las claves del caso?

• Datos biométricos como tratamiento de alto riesgo.
  El RGPD califica los datos biométricos como categorías especiales de datos, que requieren medidas reforzadas.
  Cualquier tratamiento debe evaluarse con una evaluación de impacto, y su despliegue exige especial diligencia.
  La propia AEPD ofrece guías específicas sobre EIPD, disponibles en su portal de guías y herramientas oficiales.
• No es suficiente con el consentimiento de los interesados.
  Aunque Aena defiende que los pasajeros prestaron su consentimiento voluntario, la AEPD recuerda que el consentimiento no valida un tratamiento desproporcionado o innecesario.
  La biometría exige una base jurídica más robusta y un análisis riguroso del impacto en derechos fundamentales, conforme a las directrices del Comité Europeo de Protección de Datos (EDPB) sobre tratamiento de datos biométricos.
• Riesgo reputacional y económico.
  Con 10 millones de euros de multa, más la suspensión del sistema, esta resolución pone en relieve el coste de optar por tecnologías invasivas, más allá de los elevados costes de su implementación.
• Precedente doctrinal.
  Esta sanción consolida la doctrina de la AEPD y del Comité Europeo de Protección de Datos, cuyas directrices sobre proporcionalidad y necesidad pueden consultarse en sus guías oficiales,
  admitiendo el uso de biometría únicamente cuando se justifique rigurosamente su necesidad, proporcionalidad y la inexistencia de métodos alternativos menos intrusivos.

Qué hacer antes de implantar un sistema de lectura biométrica

Antes de instalar un sistema de lectura biométrica, será necesario que cualquier organización realice con carácter previo una evaluación de impacto rigurosa y documentada que analice la necesidad, proporcionalidad, riesgos y medidas de mitigación.
Para ello, puede resultar de utilidad la herramienta de evaluaciones de impacto de la AEPD disponible en sus recursos oficiales.

En cualquier caso, antes de acudir al tratamiento de datos biométricos las organizaciones siempre deben estudiar las alternativas menos intrusivas para los derechos y la intimidad de los interesados, debiendo de ser el tratamiento de datos biométricos la última opción viable para alcanzar el fin perseguido.

Permítenos guiarte para que la innovación tecnológica de tu empresa vaya siempre de la mano de la seguridad jurídica y la confianza de tus clientes.

No permitas que la falta de una Evaluación de Impacto adecuada frene tus proyectos o derive en la suspensión de tus servicios. Contáctanos y validaremos tus procesos para asegurar un tratamiento de datos ético, seguro y conforme a la ley.